¿Qué determina la madurez de un Plan de Recuperación de TI (o IT #DisasterRecovery Plan)? #BusinessContinuity

-
En un artículo para Forrester Research, Stephanie Balaouras compartió aspectos clave para determinar el nivel de madurez de la planificación de la recuperación ante desastres para la infraestructura de TI. En general, lo que todos los estándares y guías de buenas prácticas recomiendan asegurar es:

• Patrocinio y compromiso de la alta dirección
• Personal que apoye el proceso
• Un análisis de impacto al negocio (BIA) actualizado regularmente
• Una evaluación de riesgos actualizada regularmente
• Estrategias para mitigar los riesgos más probables y de alto impacto
• Que estas estrategias estén documentadas en planes operativos
• Que estos planes sean probados bajo una determinada frecuencia
• Que estos planes sea actualizados continuamente
• Entrenamiento y sensibilización
• Coordinación con las iniciativas y lineamientos de Continuidad del Negocio

Algunos indicadores clave que comúnmente se utilizan para medir el desempeño y predecir la efectividad del Plan de Recuperación de TI son:

• Procesos de negocios cubiertos con acuerdos de contingencia tecnológica
• Número y grado de exposición de brechas en la preparación ante desastres (carencia de controles)
• Duración de la implementación de controles de mitigación
• Número de ejercicios y pruebas realizadas
• Número de deficiencias detectadas durante los ejercicios

En las revisiones con sus clientes, la especialista en IT disaster recovery suele revisar la existencia y desempeño de:

• Un data center de contingencia /  recuperación
Data centers bien equipados y asegurados (tanto el de producción como el de contingencia)
• Mecanismos de respaldo, copias de seguridad y/o replicación avanzadas (acorde con los objetivos de punto de recuperación) por cada nivel de criticidad (por ejemplo, misión crítica, crítico para el negocio, importante para el negocio, etc.)
• Tecnologías de tolerancia a fallos para las aplicaciones (acorde con los objetivos de tiempo de recuperación) por cada nivel de criticidad (por ejemplo, misión crítica, crítico para el negocio, importante para el negocio, etc.)
• Técnicas para la gestión del ancho de banda (compresión , deduplicación, notificación de eventos, otras técnicas de optimización de la WAN)
• Eliminación de soluciones independientes / no-estandarizadas para el respaldo y replicación de datos.
• Nivel de automatización (¿se puede recuperar coherentemente un grupo de aplicaciones interdependientes y sistemas de TI a un punto en el tiempo en el data center de recuperación?)
• Configuraciones de data centers activo-activo (si es que se tiene una solución de disaster recovery)
• Coordinación con las funciones/departamentos de arquitectura empresarial (gestión de procesos) o arquitectura de la infraestructura de TI.
• Consideraciones de recuperación ante desastres integradas con el desarrollo de aplicaciones y las pruebas
• Las aplicaciones y los sistemas de TI que han sido incorporados en la contingencia tecnológica
• Protección de aplicaciones y sistemas de TI en sitios remotos
• Protección de las PCs a nivel corporativo

Este esfuerzo debe estar alineado con las necesidades de recuperación definidos por la empresa y en consonancia con los riesgos evaluados.

Asimismo, para las empresas más grandes, Balaouras también evalúa si han adoptado herramientas para mejorar la gestión, como mecanismos de comunicación automatizada y algún software de apoyo a la planificación; por último, evalúa si existe un gobierno centralizado para la recuperación ante desastres.

Fuente:
Balaouras, S. (2009). Measuring Disaster Recovery Maturity. Forrester Research. Recuperado de http://blogs.forrester.com/stephanie_balaouras/09-11-16-measuring_disaster_recovery_maturity

Comentarios

Publicar un comentario

Entradas populares de este blog

Mapa de suelos de Lima y Callao #BusinessContinuity #DisasterRecovery

-
Imagen
Extraído del Atlas de Peligros del Perú articulado por el Instituto Nacional de Defensa Civil (Indeci), en el mapa se muestran los resultados del estudio de microzonificación sísmica y tsunami realizado en 2010. Cada color indica una zona la cual corresponde un tipo de calidad de suelo: Peligro bajo (verde) : Está conformada por los afloramientos rocosos, los estratos de grava-aluvial de los pies de las laderas. Este suelo tiene un comportamiento rígido, con periodos de vibración natural. Peligro bajo Peligro relativamente bajo (amarillo) : Se incluyen las áreas de terreno conformado por un estrato superficial de suelo granulado fino y suelos arcillosos. Peligro relativamente bajo. Peligro alto (anaranjado) : Conformada en su mayor parte por los depósitos de suelos finos y arenas de gran espesor que se encuentran en estado suelto. Peligro alto. Peligro muy alto (rojo) : Conformada por los depósitos de arena eólicas de gran espesor y sueltas, depósitos fluviales, depósitos marin
Leer más

¿Qué dice la Ley 29783 (SST) sobre gestión de emergencias? #EmergencyPlanning #BusinessContinuity

-
Imagen
Mediante la ley de Seguridad y Salud en el Trabajo ( Ley N° 29783: 2011 ) y su reglamento respectivo  (D.S. 005.2012-TR), se estableció la obligación para las empresas de contar con un sistema de gestión en seguridad y salud en el trabajo ; el que especifica disposiciones legales específicas con respecto a la respuesta a situaciones de emergencia. En la Ley 29783 de Seguridad y Salud en el Trabajo (SST): Art. 39.- Objetivos de la Planificación del Sistema de Gestión de la Seguridad y Salud en el Trabajo . Con respecto al logro de resultados específicos, realistas y posibles de aplicar por la empresa; comprende (a) la mejora continua de los procesos, la gestión del cambio, la preparación y respuesta a situaciones de emergencia; y (b) la mejora del nivel de participación de los trabajadores y su capacitación.   En el Reglamento de la ley de SST: Art. 33.- Registros obligatorios del Sistema de Gestión de SST : g) […] registro de entrenamiento y simulacros de emergencia (
Leer más

Repasando el MTPD (o período máximo tolerable de interrupción)

-
Imagen
Acorde con la práctica estándar, las organizaciones determinan sus prioridades y requerimientos para el programa de continuidad del negocio, como parte del proceso de análisis de impacto o business impact analysis (BIA). Desde 2006 se introdujo un concepto para ayudar a determinar cómo debían priorizarse las actividades de las empresas ante un evento de interrupción y bajo qué condiciones estas debían ser recuperadas: el período máximo tolerable de interrupción o maximum tolerable period of disruption (MTPD). Image:  https://www.nbcnews.com/news/us-news/ditch-switch-call-go-permanent-daylight-saving-time-grows-n1043051 Según la norma internacional ISO 22301:2019, el MTPD es el período de tiempo dentro del cual, si no se pudieran reanudar las actividades, los impactos llegarían a ser inaceptables para la organización ; amenazando su supervivencia o haciendo que sus objetivos ya no sean alcanzables. Para poder identificar el MTPD para cada actividad, la organización debe decidir primer
Leer más